CN103595534B - 一种支持设备吊销操作的数据加密解密系统及实现方法 - Google Patents
一种支持设备吊销操作的数据加密解密系统及实现方法 Download PDFInfo
- Publication number
- CN103595534B CN103595534B CN201310554860.5A CN201310554860A CN103595534B CN 103595534 B CN103595534 B CN 103595534B CN 201310554860 A CN201310554860 A CN 201310554860A CN 103595534 B CN103595534 B CN 103595534B
- Authority
- CN
- China
- Prior art keywords
- mobile device
- encryption
- card
- certificate
- equipment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Information Transfer Between Computers (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明涉及一种支持设备吊销操作的数据加密解密系统及实现方法,该系统包括移动设备、加密控制子网和企业网,企业网内部安装两道防火墙,和互联网隔离的第一道防火墙的DMZ区内放置企业的邮件服务器和证书控制服务器,第二道防火墙后有加密控制子网,该加密控制子网和企业网隔离,加密控制子网内只连接加密机和管理员工作机;在移动设备上,对数据进行加密和解密的对称密钥需要经过加密机的RSA密钥和移动设备上的RSA密钥的双重加密;所有的加密机共享一个黑名单信息库,在黑名单中的移动设备发来的服务请求会被拒绝服务。本发明有益的效果是:在移动设备和TF卡遗失后,通过简单的操作快速将其中的TF卡吊销;TF卡被吊销后,拾到遗失移动设备的人即使知道访问密码,也无法解密移动设备中的加密数据。
Description
技术领域
本发明涉及邮件安全领域,尤其是一种支持设备吊销操作的数据加密解密系统及实现方法。
背景技术
目前,全面推行移动办公,在政府、企业和银行等均在全面推行移动办公,所有经理层以上人员的Android手机上都安装了邮件系统,但是邮件系统仅仅对邮件进行了简单的加密码,并没有在根本上杜绝邮件的安全问题,拾到遗失移动设备的人如果知道访问密码,就能解密移动设备中的加密数据。
发明内容
本发明要解决上述现有技术的缺点,提供一种支持设备吊销操作的数据加密解密系统及实现方法,只有移动设备中插入了云盾TF卡,并输入密码后,才能够访问邮件内容。
本发明解决其技术问题采用的技术方案:这种支持设备吊销操作的数据加密解密系统,其特征在于:该系统包括移动设备、加密控制子网和企业网,企业网内部安装两道防火墙,和互联网隔离的第一道防火墙的DMZ区内放置企业的邮件服务器和证书控制服务器,第二道防火墙后有加密控制子网,该加密控制子网和企业网隔离,加密控制子网内只连接加密机和管理员工作机;移动设备在加密和解密邮件时,通过互联网向证书控制服务器发出服务请求,进行数据加密或解密;每台移动设备的TF卡内有一个能够被读出的全球唯一ID号和一对唯一的RSA密钥对,其中的私钥无法被导出;在移动设备上,对数据进行加密和解密的对称密钥需要经过加密机的RSA密钥和移动设备上的RSA密钥的双重加密;每台加密机是运行定制过的嵌入式LINUX操作系统的专用服务器,内部包含硬件加密解密卡,能完成高速RSA加密和解密每台加密机被注入相同的RSA密钥对通过TCP/IP协议与管理员工作机和证书控制服务器通讯;所有的加密机共享一个黑名单信息库,在黑名单中的移动设备发来的服务请求会被拒绝服务。
所述的加密控制子网内的加密机的数量是一台或多台,根据访问量的增加,动态添加加密机。
本发明所述的这种支持设备吊销操作的数据加密解密实现方法,具体步骤如下:
(1)、各台加密机初始化结束后,和证书控制服务器建立连接,证书控制服务器将RSA加密和解密请求平均分派给每台可用的加密机;
(2)、在移动设备上,对数据进行加密和解密的对称密钥需要经过加密机的RSA密钥和手机上的RSA密钥的双重加密;
(3)、当用户的移动设备遗失时,通知管理员,将遗失移动设备内的TF卡增加到黑名单,黑名单上的移动设备发来解密请求时,被拒绝服务,并返回特殊代码给移动客户端软件,移动客户端收到该特殊代码后,将本地cache文件全部删除,并锁定程序;
(4)、通过管理员工作机维护TF卡和员工的对应关系表备份,恢复和更新移动设备黑名单,为加密机注入主控RSA密钥备份主控RSA密钥对加密机进行参数设置。
在移动设备上,对数据加密过程:
(1)移动设备调用TF卡接口,生成一个随机数,保留在TF卡内部,作为非对称密钥A;
(2)移动设备调用TF卡接口,用A对数据,即邮件内容,加密得到密文K;
(3)移动设备调用TF卡接口,用收件人的RSA公钥,对A进行加密,得到B;
(4)移动设备将TF卡的唯一标识号和B发送给证书控制服务器,请求证书控制服务器对对称密钥进行双重加密;
(5)证书控制服务器将加密请求转发给一台加密机,加密机用企业主控RSA公钥对B进行加密,得到C,通过证书控制服务器返回给移动设备;
(6)移动设备将K作为邮件内容,C作为邮件的附加信息,添加在邮件中发出邮件。
在移动设备上,对数据解密过程:
(1)移动设备读取邮件的附加信息C,和密文K;
(2)移动设备将TF卡的唯一标识号和C一起发送给企业的证书控制服务器,发出解码请求;
(3)证书控制服务器将请求派发给一台加密机;
(4)加密机查看黑名单,如果TF卡的标识号卡不在黑名单内,则使用主控RSA私钥对C解码,得到B,并将B通过证书控制服务器返回给移动设备;
(5)移动设备调用TF卡接口,使用RSA私钥对B解码,在TF卡内部得到非对称密钥A;
(6)移动设备调用TF卡接口,使用A对密文K进行解密,得到明文,显示给用户。
本发明有益的效果是:能够在移动设备(和云盾TF卡)遗失后,通过简单的操作快速将其中的云盾TF卡吊销。TF卡被吊销后,拾到遗失移动设备的人即使知道访问密码,也无法解密移动设备中的加密数据。
附图说明
图1是本发明的结构示意图;
具体实施方式
下面结合附图对本发明作进一步说明:
本发明的应用场景:李明是XX银行的高管,他的手机上有大量包含公司机密的工作邮件。某天,李明和朋友去酒吧喝酒,回到家时才发现手机遗失了。李明非常担心手机中的机密信息被非法利用,对公司造成损失。
如图1所示:这种支持设备吊销操作的数据加密解密系统,该系统包括移动设备、加密控制子网和企业网,企业网内部安装两道防火墙,和互联网隔离的第一道防火墙的DMZ区内放置企业的邮件服务器和证书控制服务器,第二道防火墙后有加密控制子网,该加密控制子网和企业网隔离,加密控制子网内只连接加密机和管理员工作机;所述的加密控制子网内的加密机的数量是一台或多台,根据访问量的增加,动态添加加密机。移动设备在加密和解密邮件时,通过互联网向证书控制服务器发出服务请求,进行数据加密或解密;每台移动设备的TF卡内有一个能够被读出的全球唯一ID号和一对唯一的RSA密钥对,其中的私钥无法被导出;在移动设备上,对数据进行加密和解密的对称密钥需要经过加密机的RSA密钥和移动设备上的RSA密钥的双重加密;每台加密机是运行定制过的嵌入式LINUX操作系统的专用服务器,内部包含硬件加密解密卡,能完成高速RSA加密和解密每台加密机被注入相同的RSA密钥对通过TCP/IP协议与管理员工作机和证书控制服务器通讯;所有的加密机共享一个黑名单信息库,在黑名单中的移动设备发来的服务请求会被拒绝服务。
本发明所述的这种支持设备吊销操作的数据加密解密实现方法,具体步骤如下:
(1)、各台加密机初始化结束后,和证书控制服务器建立连接,证书控制服务器将RSA加密和解密请求平均分派给每台可用的加密机;
(2)、在移动设备上,对数据进行加密和解密的对称密钥需要经过加密机的RSA密钥和手机上的RSA密钥的双重加密;
(3)、当用户的移动设备遗失时,通知管理员,将遗失移动设备内的TF卡增加到黑名单,黑名单上的移动设备发来解密请求时,被拒绝服务,并返回特殊代码给移动客户端软件,移动客户端收到该特殊代码后,将本地cache文件全部删除,并锁定程序;
(4)、通过管理员工作机维护TF卡和员工的对应关系表备份,恢复和更新移动设备黑名单,为加密机注入主控RSA密钥备份主控RSA密钥对加密机进行参数设置,包括:证书控制服务器地址和端口等;
在移动设备上,对数据加密过程:
(1)移动设备调用TF卡(加密解密卡)接口,生成一个随机数,保留在TF卡内部,作为非对称密钥A;
(2)移动设备调用TF卡接口,用A对数据,即邮件内容,加密得到密文K;
(3)移动设备调用TF卡接口,用收件人的RSA公钥,对A进行加密,得到B(一次加密);
(4)移动设备将TF卡的唯一标识号和B发送给证书控制服务器,请求证书控制服务器对对称密钥进行双重加密;
(5)证书控制服务器将加密请求转发给一台加密机,加密机用企业主控RSA公钥对B进行加密,得到C(双重加密),通过证书控制服务器返回给移动设备;
(6)移动设备将K作为邮件内容,C作为邮件的附加信息,添加在邮件中发出邮件。
在移动设备上,对数据解密过程:
(1)移动设备读取邮件的附加信息C,和密文K;
(2)移动设备将TF卡的唯一标识号和C一起发送给企业的证书控制服务器,发出解码请求;
(3)证书控制服务器将请求派发给一台加密机;
(4)加密机查看黑名单,如果TF卡的标识号卡不在黑名单内,则使用主控RSA私钥对C解码,得到B,并将B通过证书控制服务器返回给移动设备;
(5)移动设备调用TF卡接口,使用RSA私钥对B解码,在TF卡内部得到非对称密钥A;
(6)移动设备调用TF卡接口,使用A对密文K进行解密,得到明文,显示给用户。
除上述实施例外,本发明还可以有其他实施方式。凡采用等同替换或等效变换形成的技术方案,均落在本发明要求的保护范围。
Claims (5)
1.一种支持设备吊销操作的数据加密解密系统,其特征在于:该系统包括移动设备、加密控制子网和企业网,企业网内部安装两道防火墙,和互联网隔离的第一道防火墙的DMZ区内放置企业的邮件服务器和证书控制服务器,第二道防火墙后有加密控制子网,该加密控制子网和企业网隔离,加密控制子网内只连接加密机和管理员工作机;移动设备在加密和解密邮件时,通过互联网向证书控制服务器发出服务请求,进行数据加密或解密;每台移动设备的TF卡内有一个能够被读出的唯一ID号和一对唯一的RSA密钥对,其中的私钥无法被导出;在移动设备上,对数据进行加密和解密的对称密钥需要经过加密机的RSA密钥和移动设备的RSA密钥的双重加密;每台加密机是运行定制过的嵌入式LINUX操作系统的专用服务器,内部包含硬件加密解密卡,能完成高速RSA加密和解密,每台加密机被注入相同的RSA密钥对,通过TCP/IP协议与管理员工作机和证书控制服务器通讯;所有的加密机共享一个黑名单信息库,在黑名单中的移动设备发来的服务请求会被拒绝服务。
2.根据权利要求1所述的支持设备吊销操作的数据加密解密系统,其特征在于:所述的加密控制子网内的加密机的数量是一台或多台,根据访问量的增加,动态添加加密机。
3.一种采用如权利要求1所述的支持设备吊销操作的数据加密解密系统的实现方法,其特征在于:
(1)、各台加密机初始化结束后,和证书控制服务器建立连接,证书控制服务器将RSA加密和解密请求平均分派给每台可用的加密机;
(2)、在移动设备上,对数据进行加密和解密的对称密钥需要经过加密机的RSA密钥和手机上的RSA密钥的双重加密;
(3)、当用户的移动设备遗失时,通知管理员工作机,将遗失移动设备内的TF卡增加到黑名单,黑名单上的移动设备发来解密请求时,被拒绝服务,并返回特殊代码给移动客户端软件,移动客户端收到该特殊代码后,将本地cache文件全部删除,并锁定程序;
(4)、通过管理员工作机维护TF卡和用户的对应关系表备份,恢复和更新移动设备黑名单,为加密机注入主控RSA密钥备份,主控RSA密钥对加密机进行参数设置。
4.根据权利要求3所述的支持设备吊销操作的数据加密解密系统的实现方法,其特征在于:在移动设备上,对数据加密过程:
(1)移动设备调用TF卡接口,生成一个随机数,保留在TF卡内部,作为非对称密钥A;
(2)移动设备调用TF卡接口,用A对数据,即邮件内容,加密得到密文K;
(3)移动设备调用TF卡接口,用收件人的RSA公钥,对A进行加密,得到B;
(4)移动设备将TF卡的唯一ID号和B发送给证书控制服务器,请求证书控制服务器对对称密钥进行双重加密;
(5)证书控制服务器将加密请求转发给一台加密机,加密机用主控RSA公钥对B进行加密,得到C,通过证书控制服务器返回给移动设备;
(6)移动设备将K作为邮件内容,C作为邮件的附加信息,添加在邮件中发出邮件。
5.根据权利要求3所述的支持设备吊销操作的数据加密解密系统的实现方法,其特征在于:在移动设备上,对数据解密过程:
(1)移动设备读取邮件的附加信息C,和密文K;
(2)移动设备将TF卡的唯一ID号和C一起发送给企业的证书控制服务器,发出解密请求;
(3)证书控制服务器将请求派发给一台加密机;
(4)加密机查看黑名单,如果TF卡的标识号卡不在黑名单内,则使用主控RSA私钥对C解密,得到B,并将B通过证书控制服务器返回给移动设备;
(5)移动设备调用TF卡接口,使用RSA私钥对B解密,在TF卡内部得到非对称密钥A;
(6)移动设备调用TF卡接口,使用A对密文K进行解密,得到明文,显示给用户。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310554860.5A CN103595534B (zh) | 2013-11-08 | 2013-11-08 | 一种支持设备吊销操作的数据加密解密系统及实现方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310554860.5A CN103595534B (zh) | 2013-11-08 | 2013-11-08 | 一种支持设备吊销操作的数据加密解密系统及实现方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103595534A CN103595534A (zh) | 2014-02-19 |
| CN103595534B true CN103595534B (zh) | 2017-01-04 |
Family
ID=50085528
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310554860.5A Active CN103595534B (zh) | 2013-11-08 | 2013-11-08 | 一种支持设备吊销操作的数据加密解密系统及实现方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103595534B (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104253694B (zh) * | 2014-09-27 | 2018-03-27 | 杭州电子科技大学 | 一种用于网络数据传输的保密方法 |
| CN106549939B (zh) * | 2016-10-11 | 2020-06-16 | 深圳左邻永佳科技有限公司 | 智能门禁系统数据处理方法及装置 |
| EP3379445A1 (en) * | 2017-03-22 | 2018-09-26 | Wincor Nixdorf International GmbH | System and method to generate encryption keys based on information of peripheral devices |
| CN109922042B (zh) * | 2019-01-21 | 2020-07-03 | 北京邮电大学 | 遗失设备的子密钥管理方法和系统 |
| CN111461728B (zh) * | 2020-03-31 | 2023-03-10 | 支付宝(杭州)信息技术有限公司 | 一种风险识别方法、装置和系统 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101030856A (zh) * | 2006-07-19 | 2007-09-05 | 王李琰 | 一种基于标识的密码技术的短消息认证及可靠分类传递方法 |
| CN101827101A (zh) * | 2010-04-20 | 2010-09-08 | 中国人民解放军理工大学指挥自动化学院 | 基于可信隔离运行环境的信息资产保护方法 |
| CN103001952A (zh) * | 2012-11-16 | 2013-03-27 | 漳州科能电器有限公司 | 一种电网加密机共享访问的系统及参数更新方法 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8875240B2 (en) * | 2011-04-18 | 2014-10-28 | Bank Of America Corporation | Tenant data center for establishing a virtual machine in a cloud environment |
-
2013
- 2013-11-08 CN CN201310554860.5A patent/CN103595534B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101030856A (zh) * | 2006-07-19 | 2007-09-05 | 王李琰 | 一种基于标识的密码技术的短消息认证及可靠分类传递方法 |
| CN101827101A (zh) * | 2010-04-20 | 2010-09-08 | 中国人民解放军理工大学指挥自动化学院 | 基于可信隔离运行环境的信息资产保护方法 |
| CN103001952A (zh) * | 2012-11-16 | 2013-03-27 | 漳州科能电器有限公司 | 一种电网加密机共享访问的系统及参数更新方法 |
Non-Patent Citations (1)
| Title |
|---|
| 环境试验信息远程传输系统研究;万军;《装备环境工程》;20070228;第4卷(第1期);85页-88页 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103595534A (zh) | 2014-02-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104253694B (zh) | 一种用于网络数据传输的保密方法 | |
| CN103595534B (zh) | 一种支持设备吊销操作的数据加密解密系统及实现方法 | |
| CN103248479A (zh) | 云存储安全系统、数据保护以及共享方法 | |
| US11074332B2 (en) | Methods and systems of securely transferring data | |
| CN101488952A (zh) | 一种移动存储装置及数据安全传输方法和系统 | |
| US20080189297A1 (en) | Securely Storing and Accessing Data | |
| CN103546421A (zh) | 基于pki技术的网络工作交流安全保密系统及其实现方法 | |
| CN104662941A (zh) | 密钥使用的支持 | |
| US11438316B2 (en) | Sharing encrypted items with participants verification | |
| CN104270242A (zh) | 一种用于网络数据加密传输的加解密装置 | |
| CN102404337A (zh) | 数据加密方法和装置 | |
| CN204180095U (zh) | 一种用于网络数据加密传输的加解密装置 | |
| CN103916834A (zh) | 一种用户独享密钥的短信加密方法和系统 | |
| US10764260B2 (en) | Distributed processing of a product on the basis of centrally encrypted stored data | |
| CN107451647B (zh) | 一种内置安全机制的营区专用sim卡 | |
| CN106257859A (zh) | 一种密码使用方法 | |
| US11463251B2 (en) | Method for secure management of secrets in a hierarchical multi-tenant environment | |
| CN101521571B (zh) | 一种移动硬件安全单元、服务方认证方法 | |
| JP2014527786A (ja) | 指紋情報による認証を行う通信システム及びその用途 | |
| CN106972928B (zh) | 一种堡垒机私钥管理方法、装置及系统 | |
| GB2579884A (en) | Methods and systems of securely transferring data | |
| JP4034946B2 (ja) | 通信システム、通信方法、および記録媒体 | |
| CN106302417A (zh) | 一种虚拟化信息传输方法及系统 | |
| Prasad et al. | Multimodal Authentication-Biomteric, password and steganography | |
| CN105391723A (zh) | 一种基于硬件的多级密钥协商方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20170417 Address after: 234000 Suzhou province high tech Zone, Anhui, Chen Chen Road, No. 8 Patentee after: Suzhou Huarui Network Information Service Co. Ltd. Address before: Hangzhou City, Zhejiang province Xihu District 310012 No. 252 Wensanlu Road Weixing building 3A-1 Patentee before: Anhui Yun Dun Information Technology Co., Ltd |